행정안전부의 심기가 불편하다. 이달 초에 있었던 국가정보원의 CC인증 제도 개선안 발표 때문이다. 기무사를 제외한 다른 국가 기관들도 국정원의 이번 발표에 대해 못마땅해 하고 있다. 행안부 내부에선 이번 국정원의 발표를 월권행위라며 강하게 비난하기도 한것으로 전해졌다.

업계에 따르면 지난 월요일 행안부 내에서 국내 보안업체와 행안부 보안정책과 직원들이 모여 1박 2일 동안 CC인증 제도 개선안의 개선 사항에 대한 강도 높은 토론이 이뤄졌다. 국정원의 IT인증 보안 사무국 측도 행안부의 참석 요청을 받았으나 끝내 보이지 않았다. 국정원 측에서는 'CC인증 제도 개선안을 이미 발표 했는데 왜 참석해야 하는가'라는 반응인 것으로 알려졌다. 

국정원이 이번에 발표한 개선안의 핵심 포인트는 선 도입, 후 검증이다. 기존에는 CC인증과 별도로 보안적합성 검사를 통과 한 제품만이 공공기관에 구축될 수 있었다. 바뀐 개선안은 CC인증을 받은 제품은 공공기관 들어갈 수 있고 이후에 보안적합성 검사를 받는 것. 국정원 측은 사후 검증과정에선 실사 위주의 검증이 이뤄질 것이라고 밝혔다.

실사 위주의 검증이란 실제 사이트에서 제품이 잘 구현되는지, 잘 구성돼 있는지 등을 확인하는 것이다. 이렇게 되면 국정원은 사후 검증과정에서 각 국가기관의 전산망 구성을 속속들이 들여다 볼 수 있게 된다. 전산망을 볼 수는 권한은 행안부(전 행자부)에만 있지만, 국정원의 이번 개선안에 의하면 국정원 스스로도 그 권한을 갖게 되는 것이나 마찬가지다.

이런 점에서 행안부 뿐 아니라 다른 국가기관에서도 이번 개선안을 탐탁치 않아하고 있다. 자신들의 전상망 구성이 국정원에게 알려지게 되는 것에 대한 부담감과 도입이후 보안성적합 검증을 받는 절차에 대한 번거로움 때문이다.

또한 국정원은 이번 개선안 발표 전에 행안부와 전혀 협의를 거치지 않았다. 행자부 시절 전자정부본부 산하에서 보안관리팀과 개인정보보호팀 2개로 운영되던 정보보호 업무팀을 과거 정통부에서 이관받은 전자인증과 정보문화 업무를 포괄하는 4개과로 확대하고 정보보호 업무의 주도권을 손에 얻은 행안부. 그러나 국정원은 행안부와의 협의 없이, 일방적으로 CC인증 제도 개선안을 발표했다. 행안부로서는 국정원에 무시당한다는 느낌을 받을 수 밖에 없다.

업체들의 혼란도 가중되고 있다. 국정원은 이번 개선안을 내놓으면서 큰 그림만 그렸을 뿐 작은 그림들은 아직 그리지 않았다. CC인증 기간을 기존의 6개월에서 3.5개월로 짧게 해서 인증 적체를 해소하겠다고 밝히고 정보보호제품 보호프로파일(PP)을 개정해 제출물 작성에 소요되는 비용과 시간을 최소화할 것이라고 말했지만 구체적인 사항은 없다.

한 업체관계자는 "제출물 작성에 소요되는 시간을 줄이겠다고 말했지만 어떻게 줄이겠다는 건 없다"며 "3.5개월로는 완벽한 제출물을 만들 수 도 없고, 그렇다고 컨설팅해줄 사람도 거의 없다"고 말했다.

CC인증을 담당하고 있는 KISA측에서도 "국제기준이 요구하는 수준이 매우 높은데 3.5개월에 수행하려면 그 수준을 줄이겠다는 의미인데 아직 그 범위에 대한 합의가 없는 실정"이라고 말했다.

행안부 보안정책과의 한근희 전문위원은 "우리는 업체가 효율적으로 가기 위한 길을 모색하고 있다"며 "국정원에서 개선안만 발표했을 뿐 구체적으로 나온 건 하나도 없다. 우리쪽에서도 준비하는 것이 있지만 국정원에서 구체적으로 이야기가 나와야 이번 개선안에 대한 할 말이 있다"고 말하며 현 상황에서의 언급을 피했다.

국정원의 구체적이지 못한 일방적인 개선안 발표와 개선안에 대한 개선안을 내놓으려는 행안부. 어쨌든 피해를 보는 것은 업체들이다. 업체들이 인증에 대한 부담감을 해소하고 더 좋은 제품을 개발할 수 있는 여건을 마련해 주려면 하루빨리 국정원과 행안부의 협의를 통한 구체적인 가이드라인이 나와야 한다.

송영록 기자 syr@ittoday.co.kr